Große Telekommunikationsanbieter weltweit sehen sich einer langfristigen, schwer erkennbaren Cyberspionage-Kampagne gegenüber, die mit dem chinesischen Bedrohungscluster Red Menshen (auch Earth Bluecrow, DecisiveArchitect, Red Dev 18) in Verbindung gebracht wird. Laut einer aktuellen Analyse von Rapid7 gelingt es den Angreifern, sich über Jahre unbemerkt in der Netzwerkinfrastruktur zu verankern, um Zugriff auf Regierungs- und andere hochsensible Kommunikationsströme zu erhalten, die durch die Knoten der Carrier laufen.
Langanhaltende Cyberspionage gegen Telekom-Betreiber
Red Menshen nimmt seit mindestens 2021 Telekom-Provider im Nahen Osten und in Asien systematisch ins Visier. Ziel ist nicht die kurzfristige Sabotage, sondern das strategische Einrichten verdeckter Zugänge in kritischen Systemen. Die Gruppe baut versteckte Mechanismen für Remote-Zugriffe auf, die wie digitale Schläferzellen über lange Zeiträume in der Infrastruktur verbleiben können.
Rapid7 beschreibt diese versteckten Zugänge als „einige der am schwierigsten zu entdeckenden digitalen Schläferzellen, die jemals in Telekommunikationsnetzen beobachtet wurden“. Für Carrier ist dies besonders kritisch, da sie als Transitpunkt für enorme Mengen behördlichen und unternehmenskritischen Datenverkehrs fungieren.
Taktiken von Red Menshen: Kernel-Implantate und Edge-Exploits
Kernel-Backdoors und minimaler Netzwerk-Footprint
Die Kampagne sticht durch den Einsatz von Kernel-Implantaten, passiven Backdoors, Credential-Stealern und plattformübergreifenden Remote-Management-Frameworks hervor. Diese Kombination ermöglicht dauerhafte Präsenz in Zielnetzen bei gleichzeitig minimalem Netzwerkrauschen und kaum sichtbaren Benutzerprozessen.
Im Zentrum steht der Linux-Backdoor BPFdoor. Anstatt wie klassische Malware einen Port zu öffnen oder sichtbare Command-and-Control-Verbindungen aufzubauen, missbraucht BPFdoor den Berkeley Packet Filter (BPF). Das Implantat analysiert Netzwerkpakete direkt im Betriebssystemkernel und aktiviert sich nur bei einem speziell präparierten „Trigger-Paket“.
Da kein dauerhaft lauschender Dienst existiert und kein regelmäßiger Beaconing-Traffic erzeugt wird, wirkt BPFdoor wie ein versteckter Zugang im Inneren der Betriebssystemarchitektur. Herkömmliche Monitoring-Lösungen, die vor allem auf Ports, Prozesse oder auffällige Verbindungsprofile achten, erkennen diese Art von Implantat nur schwer.
Angriffskette: Vom exponierten Perimeter ins Kernnetz
Die initiale Kompromittierung beginnt typischerweise an der Internet-exponierten Infrastruktur und Edge-Services. Besonders gefährdet sind VPN-Gateways, Firewalls sowie Web- und Management-Plattformen auf Basis von Lösungen wie Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks, Apache Struts und anderen im Telekom-Umfeld verbreiteten Produkten.
Nach erfolgreichem Eindringen setzen die Angreifer Linux-kompatible Post-Exploitation-Frameworks wie CrossC2 sowie Tools wie Sliver, den Unix-Backdoor TinyShell, Keylogger und Brute-Force-Utilities ein. Diese Werkzeuge dienen der Credential-Kompromittierung, Persistenz und dem lateralen Bewegung zwischen Systemen – bis tief in Kernkomponenten der Netz- und Signalisierungsinfrastruktur.
BPFdoor als verdeckte Zugriffsschicht in Linux- und 4G/5G-Netzen
Architektonisch besteht BPFdoor aus zwei Hauptkomponenten. Die erste ist ein passiver Backdoor-Agent auf dem kompromittierten Linux-System. Er installiert einen BPF-Filter und überwacht unauffällig den durchlaufenden Netzwerkverkehr. Erkennt das Implantat das definierte „magische“ Paket, eröffnet es eine Remote-Shell-Sitzung für den Operator.
Die zweite Komponente ist der Controller, der die Trigger-Pakete erzeugt und versendet. Dieser Controller kann von außen agieren oder innerhalb der bereits kompromittierten Infrastruktur laufen und sich dabei als legitimer Systemprozess tarnen. So lassen sich weitere Implantate im internen Netz aktivieren und neue lokale Listener einrichten, ohne dass klassische Perimeter-Sicherheitslösungen dies effektiv erkennen.
Besonders kritisch: Bestimmte BPFdoor-Artefakte unterstützen den Stream Control Transmission Protocol (SCTP), das in Telekom-Kernen und 4G/5G-Umgebungen weit verbreitet ist. Dadurch können Angreifer Signalisierungsprotokolle „aus erster Reihe“ beobachten, Bewegungsmuster und Geodaten von Teilnehmern einsehen und potenziell gezielt einzelne Personen überwachen.
Neue BPFdoor-Varianten und der Trend zu Low-Level-Angriffen
Rapid7 berichtet über eine neue, bislang kaum dokumentierte BPFdoor-Variante mit mehreren Architekturänderungen, die die Unentdeckbarkeit in modernen Unternehmens- und Telekomnetzen weiter erhöhen soll. Eine zentrale Neuerung ist die Einbettung des Trigger-Pakets in verschlüsselten HTTPS-Verkehr.
Hierbei wird dem HTTPS-Request ein Marker – die Zeichenkette „9999“ – an einer festen Position im Datenstrom hinzugefügt. Das Implantat prüft nur dieses Offset. Findet es dort den Marker, interpretiert es das Paket als Aktivierungssignal, ohne die Struktur legitimer HTTPS-Kommunikation zu stören. So wird die Erkennung durch TLS-Inspection und klassische Web-Filter erheblich erschwert.
Zusätzlich nutzt die neue Version einen leichten Kommunikationskanal auf Basis von ICMP, über den bereits infizierte Hosts über scheinbar harmlose Service-Pakete Daten austauschen können. Solche Techniken stehen im Einklang mit einem breiteren Trend, den auch Berichte von ENISA und anderen Stellen beschreiben: Angriffe verlagern sich zunehmend in tiefere Schichten des Stacks – Kernel, Hypervisoren, Netzwerk- und Telekom-Appliances sowie containerisierte 4G/5G-Komponenten.
Auswirkungen auf Telekom-Sicherheit und empfohlene Gegenmaßnahmen
Für Betreiber von Telekommunikationsnetzen ergibt sich daraus die Notwendigkeit, über klassische Perimeter-Sicherheit hinauszugehen. Neben konsequentem Patch-Management für VPN-Gateways, Firewalls und Web-Plattformen sind Monitoring-Fähigkeiten auf Kernel- und Netzwerkebene erforderlich, etwa mit spezialisierten eBPF-basierten Telemetrie-Lösungen, die allerdings sorgfältig gehärtet werden müssen.
Verhaltensbasierte Analysen, EDR-/XDR-Lösungen, regelmäßiger Threat Hunting nach BPFdoor-Indikatoren, strikte Netzwerksegmentierung sowie eine fein granulierte Trennung von Management-, Signalisierungs- und Kundendatenverkehr erhöhen die Chancen, derartige Schläferzellen frühzeitig aufzuspüren. Branchenberichte wie der Verizon Data Breach Investigations Report oder die ENISA Threat Landscape liefern zusätzliche Anhaltspunkte für Prioritäten in Detection & Response, ohne jedoch auf die Besonderheiten von Telekom-Kernnetzen zu verzichten.
Besonders sinnvoll ist zudem die enge Zusammenarbeit mit nationalen CERTs, Branchen-ISACs und großen Security-Anbietern, um Indicators of Compromise (IoCs), neue BPFdoor-Varianten und beobachtete Taktiken schnell auszutauschen. Ein regelmäßiger Audit von Konfigurationen, Logging-Strategien (einschließlich SCTP-Logging) und Zugriffsrechten in hybriden Umgebungen aus Bare-Metal, Virtualisierung und Cloud-nativen 5G-Komponenten sollte zum Standard gehören.
Angesichts der Fähigkeit von Gruppen wie Red Menshen, sich tief in Telekom-Infrastrukturen einzugraben, sollten Betreiber verdeckte Kernel-Implantate und passive Backdoors als realistische Bedrohung in ihre Sicherheitsplanung einbeziehen. Wer heute in robuste Segmentierung, Low-Level-Telemetrie, kontinuierliches Threat Hunting und strukturierten Informationsaustausch investiert, reduziert nicht nur das Risiko unbemerkter Cyberspionage, sondern stärkt langfristig die Widerstandsfähigkeit seiner Netze – eine zentrale Voraussetzung für vertrauenswürdige 4G- und 5G-Dienste.
